Status E-Mails von Systemdiensten

Um Probleme oder Veränderungen an Systemen frühzeitig zu erkennen, werden regelmäßig verschiedene Parameter abgefragt und die Administratoren per E-Mail benachrichtigt. Folgende Dienste werden dazu eingesetzt:

• Logwatch
• Denyhosts
• Tripwire
• Snort

Logwatch

Logwatch überprüft Einträge in Logfiles und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:

• logwatch@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "logwatch" eintragen und die Konfiguration neu schreiben.

$ vim /etc/aliases
# Role Accounts
logwatch:               benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1:              benutzer1@piratenpartei-nrw.de
NeuerBenutzer:          meine@mailadresse.de

$ newaliases

Die Empfängeradresse für Logwatch kann wie folgt geändert werden:

$ vim /usr/share/logwatch/default.conf/logwatch.conf
MailTo = logwatch@mail.piratenpartei-nrw.de

DenyHosts

DenyHosts überwacht Verbindungsversuche per ssh auf access., blockiert auffällige Benutzer und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:

• security@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "security" eintragen und die Konfiguration neu schreiben.

$ vim /etc/aliases
# Role Accounts
security:               benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1:              benutzer1@piratenpartei-nrw.de
NeuerBenutzer:          meine@mailadresse.de

$ newaliases

Die Empfängeradresse für DenyHosts kann wie folgt geändert werden:

$ vim /etc/denyhosts.conf
ADMIN_EMAIL = security@mail.piratenpartei-nrw.de

Tripwire

Tripwire untersucht Änderungen am Dateisystem die möglicherweise durch einen Angriff passiert sind und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:

• security@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "security" eintragen und die Konfiguration neu schreiben.

$ vim /etc/aliases
# Role Accounts
security:               benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1:              benutzer1@piratenpartei-nrw.de
NeuerBenutzer:          meine@mailadresse.de

$ newaliases

Die Empfängeradresse für Tripwire kann wie folgt geändert werden:

$ vim /etc/tripwire/twcfg.txt
GLOBALEMAIL   =security@mail.piratenpartei-nrw.de
$ twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt

Snort

Snort arbeitet als Intrusion Prevention System, erkennt Angriffsversuche und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:

• security@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "security" eintragen und die Konfiguration neu schreiben.

$ vim /etc/aliases
# Role Accounts
security:               benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1:              benutzer1@piratenpartei-nrw.de
NeuerBenutzer:          meine@mailadresse.de

$ newaliases

Die Empfängeradresse für Snort kann wie folgt geändert werden:

$ /etc/snort/snort.debian.conf
DEBIAN_SNORT_STATS_RCPT="security@mail.piratenpartei-nrw.de"